Serviceübergreifende Confused-Deputy-Prävention - Amazon Chime

Sie müssen ein Amazon Chime Chime-Systemadministrator sein, um die Schritte in diesem Handbuch ausführen zu können. Wenn Sie Hilfe mit dem Amazon Chime Chime-Desktop-Client, der Web-App oder der mobilen App benötigen, finden Sie weitere Informationen unter Support erhalten im Amazon Chime Chime-Benutzerhandbuch.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceübergreifende Confused-Deputy-Prävention

Das Problem mit dem verwirrten Stellvertreter ist ein Problem der Informationssicherheit, das auftritt, wenn eine Entität, die nicht berechtigt ist, eine Aktion auszuführen, eine Entität mit mehr Rechten zur Ausführung der Aktion aufruft. Auf diese Weise können böswillige Akteure Befehle ausführen oder Ressourcen ändern, zu deren Ausführung oder Zugriff sie sonst nicht berechtigt wären. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Das Problem des verwirrten Stellvertreters.

In AWS kann ein dienstübergreifendes Identitätswechsels zu einem Szenario mit verwirrtem Stellvertreter führen. Ein dienstübergreifender Identitätswechsel tritt auf, wenn ein Dienst (der anrufende Dienst) einen anderen Dienst (den angerufenen Dienst) anruft. Ein böswilliger Akteur kann den anrufenden Dienst verwenden, um Ressourcen in einem anderen Dienst zu ändern, indem er Berechtigungen verwendet, über die er normalerweise nicht verfügen würde.

AWS bietet Dienstprinzipalen verwalteten Zugriff auf Ressourcen in Ihrem Konto, um Sie beim Schutz Ihrer Ressourcen zu unterstützen. Wir empfehlen die Verwendung des Kontextschlüssels „aws:SourceAccountGlobal Condition“ in Ihren Ressourcenrichtlinien. Diese Schlüssel beschränken die Berechtigungen, die Amazon Chime einem anderen Service für diese Ressource gewährt.

Das folgende Beispiel zeigt eine S3-Bucket-Richtlinie, die den aws:SourceAccount globalen Bedingungskontextschlüssel im konfigurierten CallDetailRecords S3-Bucket verwendet, um das Problem mit dem verwirrten Stellvertreter zu verhindern.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonChimeAclCheck668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your-cdr-bucket"
        },
        {
            "Sid": "AmazonChimeWrite668426",
            "Effect": "Allow",
            "Principal": {
                "Service": "chime.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your-cdr-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "112233446677" 
                }
            }
        }
    ]
}